Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-02560

Опубликовано: 17 фев. 2025
Источник: fstec
CVSS3: 7.1
CVSS2: 6.2
EPSS Низкий

Описание

Уязвимость функции ext4fs_read_symlink загрузчика U-Boot связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
U-Boot

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
4.7 (Astra Linux Special Edition)
до 2025.01 rc1 (U-Boot)

Тип ПО

Операционная система
Микропрограммный код

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для U-Boot:
https://www.openwall.com/lists/oss-security/2025/02/17/2
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-57256
Для ОС Astra Linux:
обновить пакет u-boot до 2019.01+dfsg-7.deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1216SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00066
Низкий

7.1 High

CVSS3

6.2 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-57256

CVSS3: 7.1
ubuntu
12 месяцев назад

An integer overflow in ext4fs_read_symlink in Das U-Boot before 2025.01-rc1 occurs for zalloc (adding one to an le32 variable) via a crafted ext4 filesystem with an inode size of 0xffffffff, resulting in a malloc of zero and resultant memory overwrite.

nvd логотип

CVE-2024-57256

CVSS3: 7.1
nvd
12 месяцев назад

An integer overflow in ext4fs_read_symlink in Das U-Boot before 2025.01-rc1 occurs for zalloc (adding one to an le32 variable) via a crafted ext4 filesystem with an inode size of 0xffffffff, resulting in a malloc of zero and resultant memory overwrite.

msrc логотип

CVE-2024-57256

msrc
5 месяцев назад

An integer overflow in ext4fs_read_symlink in Das U-Boot before 2025.01-rc1 occurs for zalloc (adding one to an le32 variable) via a crafted ext4 filesystem with an inode size of 0xffffffff, resulting in a malloc of zero and resultant memory overwrite.

debian логотип

CVE-2024-57256

CVSS3: 7.1
debian
12 месяцев назад

An integer overflow in ext4fs_read_symlink in Das U-Boot before 2025.0 ...

github логотип

GHSA-vmjq-93g5-fvqc

CVSS3: 7.1
github
12 месяцев назад

An integer overflow in ext4fs_read_symlink in Das U-Boot before 2025.01-rc1 occurs for zalloc (adding one to an le32 variable) via a crafted ext4 filesystem with an inode size of 0xffffffff, resulting in a malloc of zero and resultant memory overwrite.

EPSS

Процентиль: 20%
0.00066
Низкий

7.1 High

CVSS3

6.2 Medium

CVSS2